هکرها از الحاق فایلهای ZIP برای دور زدن شناسایی استفاده میکنند
هکرها از الحاق فایلهای ZIP برای دور زدن شناسایی استفاده میکنند
این تکنیک از روشهای مختلفی کهتجزیهکنندههای ZIP و مدیران آرشیو برای پردازش فایلهای ZIP الحاق شده استفاده میکنند، بهرهبرداری میکند. این روند جدید توسط شرکت Perception Point شناسایی شده است که یک آرشیو ZIP الحاق شده را در حین تحلیل یک حمله فیشینگ که کاربران را با یک اطلاعیه حمل و نقل جعلی فریب میداد، کشف کرد.
محققان دریافتند که پیوست به عنوان یک آرشیو RAR پنهان شده و بدافزار از زبان اسکریپتنویسی AutoIt برای خودکارسازی وظایف مخرب استفاده کرده است.
مخفی کردن بدافزار در ZIPهای “شکسته”
اولین مرحله حمله، آمادهسازی است؛ جایی که عاملان تهدید دو یا چند آرشیو ZIP جداگانه ایجاد کرده و بار مخرب را در یکی از آنها پنهان میکنند و بقیه را با محتوای بیضرر پر میکنند. سپس، فایلهای جداگانه به یک فایل واحد الحاق میشوند، به طوری که دادههای باینری یک فایل به دیگری اضافه میشود و محتویات آنها در یک آرشیو ZIP ترکیب میشود.
اگرچه نتیجه نهایی به عنوان یک فایل ظاهر میشود، اما شامل چندین ساختار ZIP است که هر کدام دارای فهرست مرکزی و نشانگرهای پایان خود هستند.
بهرهبرداری از نقصهای برنامه ZIP
مرحله بعدی حمله به نحوه پردازش آرشیوهای الحاقی توسط پارسرهای ZIP بستگی دارد. Perception Point آزمایشهایی بر روی 7zip، WinRAR و Windows File Explorer انجام داد و نتایج متفاوتی به دست آورد:
• 7zip فقط اولین آرشیو ZIP (که ممکن است بیضرر باشد) را میخواند و ممکن است درباره دادههای اضافی هشدار دهد که کاربران شاید آن را نادیده بگیرند.
• WinRAR هر دو ساختار ZIP را میخواند و نمایش میدهد و تمام فایلها، از جمله محتوای مخرب پنهان شده را نیز نشان میدهد.
• Windows File Explorer ممکن است نتواند فایل الحاقی را باز کند یا اگر با پسوند .RAR تغییر نام داده شود، تنها آرشیو ZIP دوم را نمایش دهد.
• بسته به رفتار برنامه، هکرها ممکن است حمله خود را تنظیم کنند، مانند پنهان کردن بدافزار در اولین یا دومین آرشیو ZIP الحاقی.
برای افزایش امنیت در برابر فایلهای ZIP الحاقی، Perception Point پیشنهاد میکند که کاربران و سازمانها از راهحلهای امنیتی استفاده کنند که از بستهبندی بازگشتی پشتیبانی میکنند.
به طور کلی، ایمیلهایی که حاوی فایلهای ZIP یا سایر انواع فایلهای آرشیوی را پیوست شده باشند را با احتیاط باز کنید و فیلترهایی باید در محیطهای حساس برای مسدود کردن پسوندهای مربوطه پیادهسازی شوند.
مجله خبری mydtc